#Security: Elektrizitäts­versorger haben Handlungsbedarf

22. September 2021, 08:36
  • security
  • kolumne
  • switch
  • e-government
  • behörde
image

Der Bericht "Cyber-Sicherheit und Cyber-Resilienz für die Schweizer Stromversorgung" des Bundesamts für Energie kommt zum Schluss, dass die Elektrizitätswirtschaft bezüglich Cybersecurity Handlungs­bedarf hat.

Es ist unbestritten, dass die Stromversorgung in einer modernen, digitalisierten Gesellschaft wohl die wichtigste aller kritischen Infrastrukturen ist. In der föderalistischen Schweiz ist die Elektrizitätsversorgung sehr stark fragmentiert: Rund 600 Elektrizitätswerke gewährleisten im Verbund die Versorgung von Haushalten und Betrieben. Im Gegensatz zu anderen kritischen Infrastrukturen muss der Elektrizitätssektor daher aus Sicht Cybersecurity als komplexes Gesamtsystem betrachtet werden. Dies führt in Anbetracht der Bedrohungslage zu massiven Herausforderungen.
Inside-it.ch-Kolumnist Martin Leuthold von der Stiftung Switch hat den Bericht "Cyber-Sicherheit und Cyber- Resilienz für die Schweizer Stromversorgung" analysiert und nimmt zu den vier Vorschlägen des Bundesamts für Energie (BFE) Stellung.

Wer sind die relevanten Marktteilnehmer in der Schweiz?

Unter dem Begriff «Rahmenbedingungen» schlägt der Bericht erstens vor, dass das BFE verpflichtende Anforderungen bzw. einen risikobasierten Minimalstandard für relevante Marktteilnehmer definiert. Bezüglich der Kriterien zur Definition der "relevanten Marktteilnehmer" wird auf die Praxis in den umliegenden Ländern verwiesen, was durchaus Sinn ergibt. Wie diese Parameter in der Schweiz definiert werden sollen, bleibt hingegen unbeantwortet. Realistischerweise wird man sich wohl zu Beginn auf 20 bis 30 führende Unternehmen fokussieren müssen. Wir empfehlen, parallel mit der Branche nach Lösungen für den Einbezug der vielen kleinen Versorger zu suchen.
Aus unserer Erfahrung ist es zudem wichtig, dass die Entwicklung und Weiterentwicklung eines zu definierenden, verpflichtenden Minimalstandards in enger Abstimmung mit der Branche erfolgt. Aus unserer Erfahrung rechnen wir damit, dass maximal die Top 50 der Branche einen risikobasierten Minimalstandard für Cybersecurity in Eigenverantwortung und mit verhältnismässigem Aufwand umsetzen und betreiben können. Für alle anderen wird wohl nur Outsourcing oder die Gründung eines spezialisierten Gemeinschaftsunternehmens ein gangbarer Weg sein. Alternativ kommt eigentlich nur eine grosse Konsolidierung in der Branche infrage, die zu einer massiven «Defragmentierung» führt. In unserem föderalistischen System wird sich dieses Ziel aber nur schwer und über lange Zeit erreichen lassen.

Behörde soll Sicherheitsstandards regelmässig prüfen

Der BFE-Bericht schlägt als zweite Massnahme die Schaffung einer Prüfbehörde vor. Aufgrund der heutigen Tätigkeiten sind dafür Elcom oder METAS prädestiniert. Damit ist auch die Gewaltentrennung gewährleistet. Der BFE-Bericht führt unter anderem eine Umsetzungsoption auf, die auf einer Zertifizierung basiert. Diese Variante muss auf einem international anerkannten Standard aufsetzen, der zertifizierbar ist. Im Themenbereich Cybersecurity wäre das wohl mit Vorzug ISO 27001. Bei anderen kritischen Infrastrukturen ist eine Zertifizierung der Service-Provider erfolgreich umgesetzt. Mit einer solchen Lösung wird der Prüfungsaufwand verursachergerecht auf die Service-Provider verlagert und es werden keine vom Steuerzahler zu berappenden zusätzlichen staatlichen Strukturen aufgebaut. Von der ebenfalls erwähnten landesspezifischen Anpassung von Standards oder gar der Entwicklung eines eigenen Standards ist dringend abzuraten.

Meldepflicht mittels Sanktionieren und Belohnen fördern

Drittens schlägt der BFE-Bericht eine Meldepflicht inklusive Sanktionierungs- und Incentivierungsmodell vor. Zentrale Meldestelle soll das NCSC sein, das aber Incident-Informationen systematisch ans BFE weiterleiten soll. Da das NCSC basierend auf der NCS sowieso ein Konzept für eine Meldepflicht erarbeitet, ist ein Vorpreschen im Elektrizitätssektor nicht zielführend und die Resultate des NCSC sind vor der Gestaltung dieser Massnahme abzuwarten. Aus unserer langjährigen Erfahrung ist es der Qualität der Meldungen nicht zuträglich, wenn die Meldestelle nicht eine gewisse Unabhängigkeit vom Regulator hat und schon gar nicht, wenn der Regulator dann auch noch ein Sanktionierungs-Regime fährt.
Vertrauen ist ein kritischer Erfolgsfaktor im Meldewesen und das NCSC wird es sich sehr gut überlegen müssen, das Vertrauen mit einer unpassenden Lösung im Energiesektor zu verspielen. Entscheidend ist, was in welcher Art ans BFE weitergemeldet wird. Zum Thema Incentivierung muss klar geregelt sein, wo die staatlichen Aufgaben aufhören. Die NCS legt fest, dass der Staat subsidiär agiert, vor allem nur dann, wenn übergeordnete Interessen wie z.B. das Funktionieren von Gesellschaft, Staat oder Volkswirtschaft gefährdet sind. Es ist nicht Sache des Staates, zur Incentivierung bei Meldung von Cybervorfällen systematisch Incident Response-Unterstützung zu leisten. Und es ist falsch, dafür Steuergelder einzusetzen. Für Incident Response müssen die Unternehmen selber zuständig bleiben. Entsprechende Unterstützungsleistungen können am Markt bezogen werden.
Die Variante eines zweistufigen Meldeweges, die auch beim Bund auf dem Tisch liegt, wird im BFE-Bericht nicht in Betracht gezogen. Sie ist aber interessant, weil dann an einen unabhängigen Partner des Vertrauens gemeldet werden kann, weil z.B. die Branche in die Governance dieser Organisation eingebunden ist. In der Schweiz wäre mit SWITCH-CERT für Energie eine solche Plattform vorhanden, die Vertrauen geniesst und die man entsprechend entwickeln kann. In Österreich ist die Branche im Austrian Energy CERT zusammengeschlossen, das auch als Meldestelle fungiert und entsprechend den Vorgaben (z.B. NIS-Richtlinie) weitermeldet. Es ist unbestritten, dass Meldungen in einem zweistufigen Modell in geeigneter Form ans NCSC gelangen müssen und dass auch ein regelmässiger Austausch mit dem Regulator sinnvoll und erwünscht ist.

Regelmässigen Wissensaustausch fördern

Der kontinuierliche Wissensaustausch bezüglich Lagebild, Threat Intelligence und Prävention ist die vierte vorgesehene Massnahme des BFE. Diese bringt aus langjähriger Erfahrung von SWITCH-CERT hohen Mehrwert, wenn sie richtig umgesetzt wird. Es ist daher nicht verständlich, dass sie nur optional behandelt wird und erst langfristig umgesetzt werden soll. Der Aufwand für die Umsetzung dieser Massnahme wird als klein eingeschätzt und das NCSC sowie das BFE sollen in diesem Bereich Kapazitäten aufbauen. Aufgrund langjähriger Erfahrung wissen wir, dass die Umsetzung dieser Massnahmen mit erheblichem Aufwand verbunden ist. Es ist sinnvoll, dass das NCSC in diesem Themenbereich eine zentrale Rolle spielt.
Als nicht realistisch und wenig sinnvoll sehen wir die Forderung, dass das BFE in diesem Bereich ebenfalls Kapazitäten aufbauen soll. Das schafft Doppelspurigkeiten und ist mit hohem Aufwand verbunden. Wirklich wertvoller Wissenaustausch – und nur dieser bringt den benötigten Mehrwert – benötigt einen sehr offenen Austausch zwischen den Teilnehmenden und setzt sehr hohes Vertrauen unter ihnen voraus. Das BFE, in seiner Rolle als Regulator, wird dieses Vertrauen nie aufbauen können. Das NCSC (MELANI/ GovCERT) hingegen geniesst eine sehr gute Reputation und hohes Vertrauen. Nicht zuletzt, weil die Organisation viel Erfahrung in der Moderation solcher geschlossener Gruppen hat.
Komplementär zum NCSC und in enger Zusammenarbeit mit MELANI/GovCERT betreibt SWITCH-CERT in ausgewählten Sektoren sehr erfolgreich solche Austauschplattformen. Aufgrund ihrer Unabhängigkeit und hohen Transparenz geniesst die gemeinnützige Stiftung sehr hohes Vertrauen, unter anderem auch von zehn Unternehmen, die in der Elektrizitätsbranche tätig sind. SWITCH-CERT, eines der ersten CERT in der Schweiz, hat sich seit 1996 mit systematischer Arbeit exzellent national und international vernetzt. Zudem hat es in den letzten Jahren für die Sektoren Industrie & Logistik und Energie ein eigenes Kompetenzzentrum für OT-Security aufgebaut. Es wäre ein Fehler, dieses Wissen und diese Erfahrung nicht für die Verbesserung der Cybersecurity im Energiesektor zu nutzen.

Über Martin Leuthold

Seit Februar 2016 leitet Martin Leuthold als Geschäftsleitungsmitglied den Geschäftsbereich Daten, Sicherheit und Netzwerk bei der Stiftung SWITCH und ist Mitglied des SATW Advisory Board Cybersecurity. Er twittert als @MLeuthold.

Über die Kolumne #Security:

Die Kolumne von Switch über Sicherheit erscheint 6 mal jährlich. Die Autoren äussern unabhängig ihre Meinung, die sich nicht mit der Redaktionsmeinung von inside-it.ch und inside-channels.ch decken muss.

Loading

Mehr zum Thema

image

Die IT-Woche: Polit-Krimi

Neue Bundesräte, die neue Heimat des NCSC und geschredderte Daten sorgten diese Woche für viel Diskussionsstoff.

publiziert am 9.12.2022
image

Bundesrat will Easygov einen Schub geben

Ein neues Massnahmenpaket soll bei Unternehmen die administrative Arbeit reduzieren. Dazu gehört auch der Ausbau der E-Gov-Plattform für Firmen.

publiziert am 9.12.2022
image

Mgmt-Summary: Künstliche Intelligenz

In der Kolumne Mgmt-Summary erklärt Rafael Perez Süess Buzzwords. Heute sagt er, was KI mit Noilly Prat oder Art Brut zu tun hat – und warum es sie eigentlich gar nicht gibt.

publiziert am 9.12.2022
image

Pentagon verteilt seinen riesigen Cloud-Auftrag

Das Verteidigungsministerium musste das grosse Cloud-Projekt neu aufgleisen und umbenennen. Jetzt sind Milliardenzuschläge an Amazon, Google, Microsoft und Oracle gesprochen worden.

publiziert am 9.12.2022